路由和远程访问服务
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
只需要 5 分钟,李四周六、日都会休息 你准备配置一台 Windows Server 2003 服务器来完成该任务,并 使用最少的工作量。写出你的方案并实施
2021/4/28
打造“香港上市职业教育高端品牌”
Page 22 / 29
Βιβλιοθήκη Baidu
了解隧道协议
PPTP 协议
1. PPTP 可以用于各种 Microsoft 客 户端(包括 Windows 2000、 Windows XP、Windows Vista 和 Windows Server 2008)。
Page 4 / 29
• VPN 客户端 • VPN 服务器 • 隧道 • VPN 连接 • 隧道协议 • 传输互联网络
VPN 组件
2021/4/28
打造“香港上市职业教育高端品牌”
Page 5 / 29
• 激活路由和远程访问服务 • 配置远程访问服务器 • 配置客户机网络连接
配置远程访问服务
2021/4/28
本次培训的准备时间为:一周
2021/4/28
打造“香港上市职业教育高端品牌”
Page 30 / 29
路由和远程访问服务
打造“香港上市职业教育高端品牌”
远程访问服务概述
• 远程访问服务(RAS)提供了两种连接方式
– 拨号网络 – 虚拟专用网络
虚拟专用连接
好像客户机直接连接在局域网上一样
内部网络
VPN
VPN 用户
RAS 服务器 调制解调器
公共网络
拨号连接
2021/4/28
调制解调器
打造“香港上市职业教育高端品牌”
为了让远程用户连接公司网络时可以使用更高级的安全性,你决定 配置你的 VPN 服务器以支持 L2TP/IPSec 隧道协议。
你需要确保用户只能通过 L2TP/IPSec 隧道协议连接公司的 VPN 服务器。
写出你的方案并实施。
2021/4/28
打造“香港上市职业教育高端品牌”
Page 29 / 29
远程访问策略的应用规则
开始
是 是否有策略处理
连接尝试是否 符合策略条件
否
处理下一策略
是
检查 Ignore-User-DialinProperties 属性
否
是 属性值是否为 False
用户帐户上是否被 是 设置为“拒绝访问”
拒绝连接尝试
拒绝连接请求
否
否
是 远程访问策略是否被设置为 否用户帐户上是否被 “拒绝远程访问权限” 设置为“允许访问”
打造“香港上市职业教育高端品牌”
Page 6 / 29
激活路由和远程访问服务
2021/4/28
打造“香港上市职业教育高端品牌”
Page 7 / 29
• 常规 • 安全 • IP • PPP • 日志
配置远程访问服务器的属性
身份验证方式采用 Windows身份验证
IP地址的分配有2种 动态主机配置协议和 静态地址池
端身份验证证书’
证书模板 为‘系统 管理员’
打造“香港上市职业教育高端品牌”
Page 26 / 29
CA 1
企业 CCA A 2
或独立 CA
证书的申请
客户机和服务器都也必可须 以向不CA同申的请CA证申书请,证同书时,都但必双须方信都任该必须 C信A任两个该 CA
2021/4/28
打造“香港上市职业教育高端品牌”
项目 3
为 IT 部门的员工培训 RADIUS 服务器的技术,并达到以下要求: 1. 自行查找并收集资料 2. 自行制作 PPT 课件
为了达到良好的培训效果,需要注意以下事项: 1. 培训对象 2. 如何收集资料?收集什么资料? 3. PPT 课件的内容与主题配色 4. 案例
要求在所准备的案例中,必须包含以下案例:RADIUS 代理服务器 为不同域的用户转发身份验证请求到正确的域中的 RADIUS 服务器中进 行身份验证
Page 27 / 29
客户端建立与VPN服务器的连接
在客户端创建一个 VPN 连接,并修改 VPN 的类型为“L2TP/IPSec VPN”
2021/4/28
打造“香港上市职业教育高端品牌”
Page 28 / 29
项目 2
你是 Tailspin Toys 公司的网络主管,该公司是一家制造玩具飞机 的企业。你的公司已经部署了一台 Windows Server 2003 的 VPN 服 务器,最近又部署了一台企业 CA。
2021/4/28
打造“香港上市职业教育高端品牌”
Page 8 / 29
配置端口
2021/4/28
打造“香港上市职业教育高端品牌”
Page 9 / 29
配置用户拨入属性
2021/4/28
打造“香港上市职业教育高端品牌”
Page 10 / 29
配置客户机网络连接
2021/4/28
打造“香港上市职业教育高端品牌”
打造“香港上市职业教育高端品牌”
Page 23 / 29
建立 L2TP/IPSec VPN
• 步骤
– VPN 客户端与 VPN 服务器向 CA 申请证书 – VPN 客户端与 VPN 服务器建立 L2TP/IPSec VPN 连接
2021/4/28
打造“香港上市职业教育高端品牌”
Page 24 / 29
是
否
连接尝试是否同时符合用 是 户帐户和配置文件的设置
接受连接 尝试
2021/4/28
否
打造“香港上市职业教育高端品牌”
Page 17 / 29
排错检查步骤
1. 硬件是否正常 2. 远程访问服务是否启动 3. 如果启动,则检查服务器设置,如端口是否允许远程访
问连接 4. 用户帐户的拨入属性配置是否正确 5. 远程访问策略是否存在,如果存在,则策略的条件、远
2. L2TP 支持将计算机证书或预共享 密钥作为 IPsec 的身份验证方法。
3. L2TP/IPsec VPN 连接使用 IPsec 来提供数据保密性、数据完整性和 数据身份验证。
4. L2TP/IPsec 启用 IPsec 层的计算 机身份验证和 PPP 层的用户级身 份验证。
2021/4/28
Page 20 / 29
• 故障现象 3
常见故障及解决方法 3-3
• 可能的原因
– 客户端与远程访问服务器的身份验证方式不匹配
2021/4/28
打造“香港上市职业教育高端品牌”
Page 21 / 29
项目 1
你是 Tailspin Toys 公司的网络主管,该公司是一家制造玩具飞机 的企业。公司网络由单一活动目录域构成,名为 tails.com。域中包含 25 台服务器和 200 台客户端计算机。
Page 11 / 29
连接 VPN 服务器
2021/4/28
打造“香港上市职业教育高端品牌”
Page 12 / 29
远程访问策略的组成 2-1
• 远程访问策略是一组定义允许或拒绝连接的有序规则 • 条件
– “Windows-Groups” 表示用户所属的组 – “Day-And-Time-Restrictions” 表示每周允许用户连接的
日期和时间
• 远程访问权限
– 【授予远程访问权限】或【拒绝远程访问权限】
• 配置文件
2021/4/28
打造“香港上市职业教育高端品牌”
Page 13 / 29
远程访问策略的组成 2-2
条件
2021/4/28
配置文件 远程访问权限
打造“香港上市职业教育高端品牌”
Page 14 / 29
策略条件 添加策略条件
拨号用户
Page 2 / 29
拨号网络组件
• 拨号网络客户端
点到点协议 PPP
• 远程访问服务器 • WAN 结构
串行线路网际协议 SLIP Microsoft RAS 协议
• 远程访问协议
• LAN 协议
公共TC交P换/IP电,I话PX网,NPeStTBNEUI
综合业务数字网 ISDN
非对称数字用户线 ADSL
调制解调器
内部网络
调制解调器
RAS 服务器
2021/4/28
打造“香港上市职业教育高端品牌”
Page 3 / 29
VPN 概述
节约成本,提 高了安全性
上海分公司 家庭办公
Internet VPN 通道
VPN服务器
北京总公司
在公网上为两个局域网 开辟一条安全的数据传输隧道
2021/4/28
打造“香港上市职业教育高端品牌”
2. PPTP 不要求使用公钥结构 (PKI)。 3. 基于 PPTP 的 VPN 连接使用加密
来提供数据保密性 4. PPTP 的 VPN 连接不提供数据完
整性(保证数据在传输中未更改) 或数据源身份验证(保证数据由经 过授权的用户发送)。
L2TP 协议
1. L2TP 只能用于运行 Windows 2000、Windows XP 或 Windows Vista 的客户端计算 机。
策略条件
限制用户的连接时间和日期 对编辑策略条件
2021/4/28
添加选中的条件
打造“香港上市职业教育高端品牌”
Page 15 / 29
• 拨入限制 • IP • 身份验证 • 多重链接 • 加密
配置文件
对数据加密 对密码加密
2021/4/28
打造“香港上市职业教育高端品牌”
Page 16 / 29
由于工作需要,公司有部分员工需要到外地出差,并且在出差时需 要访问公司内部的文件服务器。你的上司要求你解决该问题,并与你进 行了一次交谈,说明了一些情况。以下是交谈的部分内容: 1. 现在公司只有张三和李四需要出差,没有其他同事需要出差 2. 他们一般只会在周一到周五的 11 ~ 12 点连接公司的服务器 3. 张三偶尔也会在周六、日的晚上 7 点左右连接公司服务器,但一般
程访问权限、配置文件是否符合 6. 客户端的配置,例如新建网络连接的参数是否正确、用
户名和密码是否输入正确等
2021/4/28
打造“香港上市职业教育高端品牌”
Page 18 / 29
• 故障现象 1
常见故障及解决方法 3-1
• 可能的原因
– 用户帐户拨入属性中设置拒绝访问
– 远程访问策略中的条件不满足,例如 “Day-And-Time-Restrictions” 在规定时间段内拒绝,或者 “Windows-Groups”添加的用户组中的 成员不包含本帐户等
证书的申请 可以向企业 CA 申请证书,也可向独立 CA 申请证书
2021/4/28
打造“香港上市职业教育高端品牌”
Page 25 / 29
2021/4/28
以管理员 身份连接
CA
证书的申请
证书要保 存到计算 机存储中
向企业 CA 申请证书
使用‘高 级证书申
请’
若向独立 CA 申请证书, 证书模板应选择‘客户
– 远程访问策略中的设置了拒绝远程访问权限
– 没有远程访问策略(远程访问策略全部被删除)
2021/4/28
打造“香港上市职业教育高端品牌”
Page 19 / 29
• 故障现象 2
常见故障及解决方法 3-2
• 可能的原因
– 密码输入错误 – 用户名输入错误
2021/4/28
打造“香港上市职业教育高端品牌”
2021/4/28
打造“香港上市职业教育高端品牌”
Page 22 / 29
Βιβλιοθήκη Baidu
了解隧道协议
PPTP 协议
1. PPTP 可以用于各种 Microsoft 客 户端(包括 Windows 2000、 Windows XP、Windows Vista 和 Windows Server 2008)。
Page 4 / 29
• VPN 客户端 • VPN 服务器 • 隧道 • VPN 连接 • 隧道协议 • 传输互联网络
VPN 组件
2021/4/28
打造“香港上市职业教育高端品牌”
Page 5 / 29
• 激活路由和远程访问服务 • 配置远程访问服务器 • 配置客户机网络连接
配置远程访问服务
2021/4/28
本次培训的准备时间为:一周
2021/4/28
打造“香港上市职业教育高端品牌”
Page 30 / 29
路由和远程访问服务
打造“香港上市职业教育高端品牌”
远程访问服务概述
• 远程访问服务(RAS)提供了两种连接方式
– 拨号网络 – 虚拟专用网络
虚拟专用连接
好像客户机直接连接在局域网上一样
内部网络
VPN
VPN 用户
RAS 服务器 调制解调器
公共网络
拨号连接
2021/4/28
调制解调器
打造“香港上市职业教育高端品牌”
为了让远程用户连接公司网络时可以使用更高级的安全性,你决定 配置你的 VPN 服务器以支持 L2TP/IPSec 隧道协议。
你需要确保用户只能通过 L2TP/IPSec 隧道协议连接公司的 VPN 服务器。
写出你的方案并实施。
2021/4/28
打造“香港上市职业教育高端品牌”
Page 29 / 29
远程访问策略的应用规则
开始
是 是否有策略处理
连接尝试是否 符合策略条件
否
处理下一策略
是
检查 Ignore-User-DialinProperties 属性
否
是 属性值是否为 False
用户帐户上是否被 是 设置为“拒绝访问”
拒绝连接尝试
拒绝连接请求
否
否
是 远程访问策略是否被设置为 否用户帐户上是否被 “拒绝远程访问权限” 设置为“允许访问”
打造“香港上市职业教育高端品牌”
Page 6 / 29
激活路由和远程访问服务
2021/4/28
打造“香港上市职业教育高端品牌”
Page 7 / 29
• 常规 • 安全 • IP • PPP • 日志
配置远程访问服务器的属性
身份验证方式采用 Windows身份验证
IP地址的分配有2种 动态主机配置协议和 静态地址池
端身份验证证书’
证书模板 为‘系统 管理员’
打造“香港上市职业教育高端品牌”
Page 26 / 29
CA 1
企业 CCA A 2
或独立 CA
证书的申请
客户机和服务器都也必可须 以向不CA同申的请CA证申书请,证同书时,都但必双须方信都任该必须 C信A任两个该 CA
2021/4/28
打造“香港上市职业教育高端品牌”
项目 3
为 IT 部门的员工培训 RADIUS 服务器的技术,并达到以下要求: 1. 自行查找并收集资料 2. 自行制作 PPT 课件
为了达到良好的培训效果,需要注意以下事项: 1. 培训对象 2. 如何收集资料?收集什么资料? 3. PPT 课件的内容与主题配色 4. 案例
要求在所准备的案例中,必须包含以下案例:RADIUS 代理服务器 为不同域的用户转发身份验证请求到正确的域中的 RADIUS 服务器中进 行身份验证
Page 27 / 29
客户端建立与VPN服务器的连接
在客户端创建一个 VPN 连接,并修改 VPN 的类型为“L2TP/IPSec VPN”
2021/4/28
打造“香港上市职业教育高端品牌”
Page 28 / 29
项目 2
你是 Tailspin Toys 公司的网络主管,该公司是一家制造玩具飞机 的企业。你的公司已经部署了一台 Windows Server 2003 的 VPN 服 务器,最近又部署了一台企业 CA。
2021/4/28
打造“香港上市职业教育高端品牌”
Page 8 / 29
配置端口
2021/4/28
打造“香港上市职业教育高端品牌”
Page 9 / 29
配置用户拨入属性
2021/4/28
打造“香港上市职业教育高端品牌”
Page 10 / 29
配置客户机网络连接
2021/4/28
打造“香港上市职业教育高端品牌”
打造“香港上市职业教育高端品牌”
Page 23 / 29
建立 L2TP/IPSec VPN
• 步骤
– VPN 客户端与 VPN 服务器向 CA 申请证书 – VPN 客户端与 VPN 服务器建立 L2TP/IPSec VPN 连接
2021/4/28
打造“香港上市职业教育高端品牌”
Page 24 / 29
是
否
连接尝试是否同时符合用 是 户帐户和配置文件的设置
接受连接 尝试
2021/4/28
否
打造“香港上市职业教育高端品牌”
Page 17 / 29
排错检查步骤
1. 硬件是否正常 2. 远程访问服务是否启动 3. 如果启动,则检查服务器设置,如端口是否允许远程访
问连接 4. 用户帐户的拨入属性配置是否正确 5. 远程访问策略是否存在,如果存在,则策略的条件、远
2. L2TP 支持将计算机证书或预共享 密钥作为 IPsec 的身份验证方法。
3. L2TP/IPsec VPN 连接使用 IPsec 来提供数据保密性、数据完整性和 数据身份验证。
4. L2TP/IPsec 启用 IPsec 层的计算 机身份验证和 PPP 层的用户级身 份验证。
2021/4/28
Page 20 / 29
• 故障现象 3
常见故障及解决方法 3-3
• 可能的原因
– 客户端与远程访问服务器的身份验证方式不匹配
2021/4/28
打造“香港上市职业教育高端品牌”
Page 21 / 29
项目 1
你是 Tailspin Toys 公司的网络主管,该公司是一家制造玩具飞机 的企业。公司网络由单一活动目录域构成,名为 tails.com。域中包含 25 台服务器和 200 台客户端计算机。
Page 11 / 29
连接 VPN 服务器
2021/4/28
打造“香港上市职业教育高端品牌”
Page 12 / 29
远程访问策略的组成 2-1
• 远程访问策略是一组定义允许或拒绝连接的有序规则 • 条件
– “Windows-Groups” 表示用户所属的组 – “Day-And-Time-Restrictions” 表示每周允许用户连接的
日期和时间
• 远程访问权限
– 【授予远程访问权限】或【拒绝远程访问权限】
• 配置文件
2021/4/28
打造“香港上市职业教育高端品牌”
Page 13 / 29
远程访问策略的组成 2-2
条件
2021/4/28
配置文件 远程访问权限
打造“香港上市职业教育高端品牌”
Page 14 / 29
策略条件 添加策略条件
拨号用户
Page 2 / 29
拨号网络组件
• 拨号网络客户端
点到点协议 PPP
• 远程访问服务器 • WAN 结构
串行线路网际协议 SLIP Microsoft RAS 协议
• 远程访问协议
• LAN 协议
公共TC交P换/IP电,I话PX网,NPeStTBNEUI
综合业务数字网 ISDN
非对称数字用户线 ADSL
调制解调器
内部网络
调制解调器
RAS 服务器
2021/4/28
打造“香港上市职业教育高端品牌”
Page 3 / 29
VPN 概述
节约成本,提 高了安全性
上海分公司 家庭办公
Internet VPN 通道
VPN服务器
北京总公司
在公网上为两个局域网 开辟一条安全的数据传输隧道
2021/4/28
打造“香港上市职业教育高端品牌”
2. PPTP 不要求使用公钥结构 (PKI)。 3. 基于 PPTP 的 VPN 连接使用加密
来提供数据保密性 4. PPTP 的 VPN 连接不提供数据完
整性(保证数据在传输中未更改) 或数据源身份验证(保证数据由经 过授权的用户发送)。
L2TP 协议
1. L2TP 只能用于运行 Windows 2000、Windows XP 或 Windows Vista 的客户端计算 机。
策略条件
限制用户的连接时间和日期 对编辑策略条件
2021/4/28
添加选中的条件
打造“香港上市职业教育高端品牌”
Page 15 / 29
• 拨入限制 • IP • 身份验证 • 多重链接 • 加密
配置文件
对数据加密 对密码加密
2021/4/28
打造“香港上市职业教育高端品牌”
Page 16 / 29
由于工作需要,公司有部分员工需要到外地出差,并且在出差时需 要访问公司内部的文件服务器。你的上司要求你解决该问题,并与你进 行了一次交谈,说明了一些情况。以下是交谈的部分内容: 1. 现在公司只有张三和李四需要出差,没有其他同事需要出差 2. 他们一般只会在周一到周五的 11 ~ 12 点连接公司的服务器 3. 张三偶尔也会在周六、日的晚上 7 点左右连接公司服务器,但一般
程访问权限、配置文件是否符合 6. 客户端的配置,例如新建网络连接的参数是否正确、用
户名和密码是否输入正确等
2021/4/28
打造“香港上市职业教育高端品牌”
Page 18 / 29
• 故障现象 1
常见故障及解决方法 3-1
• 可能的原因
– 用户帐户拨入属性中设置拒绝访问
– 远程访问策略中的条件不满足,例如 “Day-And-Time-Restrictions” 在规定时间段内拒绝,或者 “Windows-Groups”添加的用户组中的 成员不包含本帐户等
证书的申请 可以向企业 CA 申请证书,也可向独立 CA 申请证书
2021/4/28
打造“香港上市职业教育高端品牌”
Page 25 / 29
2021/4/28
以管理员 身份连接
CA
证书的申请
证书要保 存到计算 机存储中
向企业 CA 申请证书
使用‘高 级证书申
请’
若向独立 CA 申请证书, 证书模板应选择‘客户
– 远程访问策略中的设置了拒绝远程访问权限
– 没有远程访问策略(远程访问策略全部被删除)
2021/4/28
打造“香港上市职业教育高端品牌”
Page 19 / 29
• 故障现象 2
常见故障及解决方法 3-2
• 可能的原因
– 密码输入错误 – 用户名输入错误
2021/4/28
打造“香港上市职业教育高端品牌”